Zwei Open-Source-Firewalls dominieren 2026 den Markt für selbst gehostete Netzwerksicherheit: pfSense von Netgate und OPNsense von Deciso. Auf identischer Hardware liefern beide 940 Mbps Durchsatz, kosten in der Basisversion nichts und laufen auf FreeBSD 14.x. Trotzdem trennen sie grundlegende Unterschiede bei Lizenzmodell, Update-Geschwindigkeit, WireGuard-Integration und Benutzeroberfläche. Dieser Vergleich zeigt mit echten Benchmark-Daten, welche Plattform 2026 für welchen Anwendungsfall die bessere Wahl ist.
Was ist pfSense?
pfSense entstand 2004 als Fork des m0n0wall-Projekts und gilt als eine der ältesten Open-Source-Firewalls auf FreeBSD-Basis. Hinter der Plattform steht Netgate, ein US-amerikanisches Unternehmen mit Sitz in Austin, Texas. Netgate vertreibt pfSense in zwei Varianten: pfSense CE (Community Edition, kostenlos und quelloffen unter Apache 2.0) und pfSense Plus (proprietäre kommerzielle Variante, Lizenz an Netgate-Hardware oder TAC-Subscription gebunden). Die aktuellen Versionen sind pfSense CE 2.8.x und pfSense Plus 26.03.1, das am 27. Mai 2026 erschien.
Die Plattform setzt seit jeher auf den pf-Paketfilter aus dem OpenBSD-Projekt, kombiniert mit einem PHP-basierten Webinterface. pfSense verfügt über eine sehr große installierte Basis, jahrelange Stabilität und ein umfangreiches Paket-Ökosystem. In Unternehmensumgebungen ist pfSense Plus auf Netgate-Appliances besonders verbreitet, weil Netgate Hardware, Software und kommerziellen Support aus einer Hand anbietet.
Ein kritischer Punkt im Jahr 2025 war CVE-2025-34173: Eine Directory-Traversal- und Information-Disclosure-Schwachstelle betraf pfSense Plus 25.07 und 25.07.1 sowie pfSense CE 2.8.0 und 2.8.1 im Snort-Paket bis Version 4.1.6_25. Netgate lieferte den Patch über das reguläre Update-System aus, CE-Nutzer mussten jedoch länger auf die Korrektur warten.
Was ist OPNsense?
OPNsense entstand 2015 als Fork von pfSense. Das niederländische Unternehmen Deciso treibt die Entwicklung voran. Das Projekt positioniert sich als vollständig quelloffene Alternative ohne proprietäre Editionen: Der gesamte Funktionsumfang ist in der kostenlosen Community-Version enthalten. Wer professionellen Support oder einen stabilen Unternehmens-Release-Kanal benötigt, abonniert die OPNsense Business Edition bei Deciso, ohne dadurch neue Firewall-Funktionen freizuschalten.
OPNsense verwendete eine Zeit lang HardenedBSD als Basis, kehrte aber inzwischen zu Mainstream-FreeBSD 14.x zurück, genau wie pfSense. Der Unterschied liegt heute nicht mehr im Kernel-Fork, sondern in der Update-Philosophie: OPNsense veröffentlicht zwei Hauptversionen pro Jahr (Januar und Juli) und schiebt zwischen diesen Versionen wöchentliche Sicherheits- und Bugfix-Updates nach. Die aktuelle Version im Sommer 2026 ist OPNsense 25.7.x.
Besondere Stärke von OPNsense: WireGuard ist nativ eingebaut und lässt sich direkt im Browser konfigurieren, ohne ein Paket nachinstallieren zu müssen. Das Next-Generation-Firewall-Plugin Zenarmor (ehemals Sensei) von Sunny Valley Networks integriert sich tief in OPNsense und bietet Application Control, TLS-Inspektion und Layer-7-Filterung ohne zusätzliche Hardware.
Technischer Vergleich: Spezifikationen auf einen Blick
Die folgende Tabelle fasst die zentralen technischen Unterschiede zusammen. Wo Netgate und Deciso offiziell dokumentierte Angaben veröffentlicht haben, werden diese direkt verwendet.
| Merkmal | pfSense CE | pfSense Plus | OPNsense Community |
|---|---|---|---|
| Aktuelle Version (Juni 2026) | 2.8.x | 26.03.1 | 25.7.x |
| FreeBSD-Basis | 14.x | 14.x | 14.x |
| Versionierungsschema | Major.Minor.Patch | Jahr.Monat.Patch | Jahr.Halbjahr.Patch |
| Lizenz | Apache 2.0 (Open Source) | Proprietär (Netgate) | BSD (Open Source) |
| Preis | Kostenlos | TAC-Subscription / Appliance | Kostenlos |
| WireGuard | Nachinstalliertes Paket | Nachinstalliertes Paket | Nativ eingebaut |
| IDS/IPS (Suricata) | Nachinstalliertes Paket | Nachinstalliertes Paket | Eingebaut, sofort aktiv |
| Zenarmor / NGFW | Eingeschränkt | Eingeschränkt | Vollständig integriert |
| Update-Rhythmus | ~1x pro Jahr (CE) | ~3x pro Jahr + Patches | 2x pro Jahr + wöchentlich |
| ZFS-Unterstützung | Ja | Ja | Ja |
| Multi-WAN / Failover | Ja | Ja | Ja |
| VLAN (802.1Q) | Ja | Ja | Ja |
| IPv6 (vollständig) | Ja | Ja | Ja |
| BGP / OSPF via FRRouting | Paket | Paket | Plugin |
| Captive Portal | Ja | Ja | Ja |
| Traffic Shaping (HFSC) | Ja | Ja | Ja |
| Hochverfügbarkeit (CARP) | Ja | Ja | Ja |
| Webinterface-Navigation | Oberes Menü (klassisch) | Oberes Menü (klassisch) | Linke Sidebar (durchsuchbar) |
| Mindest-RAM | 1 GB (empfohlen 2 GB) | 2 GB (empfohlen 4 GB) | 1 GB (empfohlen 2 GB) |
| Herausgeber | Netgate (USA) | Netgate (USA) | Deciso (Niederlande) |
| GitHub-Repository | github.com/pfsense/pfsense | Proprietär, nicht öffentlich | github.com/opnsense/core |
Benchmark-Vergleich: Durchsatz, WireGuard und IDS
Beide Plattformen nutzen denselben pf-Paketfilter aus FreeBSD. Auf identischer x86-Hardware mit 1-GbE-Netzwerkkarten zeigen pfSense und OPNsense daher nahezu identischen Basisdurchsatz. Die Unterschiede werden sichtbar, sobald Dienste wie VPN-Tunnels oder das Intrusion-Detection-System aktiv sind.
Die folgenden Messwerte stammen aus einem Homelab-Vergleichstest auf identischer x86-Hardware mit einem 4-Kern-Intel-Prozessor mit AES-NI, 8 GB RAM und Intel-1-GbE-NICs. Beide Systeme liefen in aktuellen Versionen ohne manuelle Kernel-Tuning-Optimierungen:
| Testszenario | OPNsense 25.x | pfSense 26.x / 2.8.x | Differenz |
|---|---|---|---|
| WAN-zu-LAN (reines Routing) | 940 Mbps | 938 Mbps | +2 Mbps OPNsense |
| WireGuard-VPN-Tunnel | 720 Mbps | 710 Mbps | +10 Mbps OPNsense |
| OpenVPN (AES-256-GCM) | 380 Mbps | 375 Mbps | +5 Mbps OPNsense |
| Suricata IDS/IPS (3 Regelsets aktiv) | 680 Mbps | 670 Mbps | +10 Mbps OPNsense |
Das zentrale Ergebnis: Im reinen Firewall-Betrieb sind pfSense und OPNsense praktisch gleichwertig. OPNsense hat einen kleinen Vorteil beim WireGuard-Durchsatz, weil der WireGuard-Kernel-Code nativ integriert ist, während pfSense WireGuard als nachinstalliertes Paket betreibt. Für 10-GbE-Umgebungen oder IPS-Inline-Betrieb mit umfangreichen Regelsets empfiehlt sich ein eigener Benchmark auf der Zielhardware, da NIC-Treiber, AES-NI-Nutzung und Suricata-Regelsetgröße den Durchsatz stärker beeinflussen als die Wahl zwischen den beiden Firewalls.
Preisvergleich: Was kostet welche Edition wirklich?
Der offensichtlichste Unterschied zwischen pfSense und OPNsense liegt im Lizenzmodell. OPNsense liefert alle Funktionen kostenlos an alle Nutzer gleichzeitig. Netgate spaltet pfSense hingegen in eine freie CE-Variante und eine kommerzielle Plus-Variante auf, die unterschiedliche Patch-Frequenzen erhalten.
| Edition | Preis (2026) | Support-Level | Zielgruppe |
|---|---|---|---|
| pfSense CE | Kostenlos | Community-Forum, keine SLA | Heimanwender, Labs |
| pfSense Plus (TAC Lite) | Ab ca. 129 $/Jahr | Basis-Ticket-Support | Kleine Betriebe, 1-5 Geräte |
| pfSense Plus (TAC E-Gold) | Preis auf Anfrage | Standard-SLA, E-Mail-Support | Mittlere Unternehmen |
| pfSense Plus (TAC E-Platinum) | Preis auf Anfrage | Premium-SLA, Telefon 24/7 | Großunternehmen, krit. Infra. |
| OPNsense Community | Kostenlos | Forum, GitHub-Issues | Alle Anwender |
| OPNsense Business Edition | Preis auf Anfrage (Deciso) | SLA, stabiler Release-Kanal | Unternehmen, MSPs |
Ein entscheidender Punkt für Unternehmensumgebungen: pfSense CE erhält Sicherheits-Patches deutlich langsamer als pfSense Plus. Netgate priorisiert Plus-Releases, CE-Updates kommen danach oder entfallen bei kleinen Schwachstellen komplett. Wer pfSense im Produktionsbetrieb nutzt und auf zeitnahe Security-Patches angewiesen ist, kommt an einem TAC-Abonnement nicht vorbei. OPNsense hat dieses Problem strukturell nicht, weil es nur eine quelloffene Variante gibt und alle Nutzer die wöchentlichen Updates gleichzeitig erhalten.
Für DACH-Unternehmen, die unter NIS-2 fallen, ist das Update-Modell keine technische Nebensächlichkeit, sondern eine Compliance-Frage. Die NIS-2-Umsetzung in Deutschland verlangt von Betreibern wesentlicher und wichtiger Einrichtungen, dass Sicherheitslücken zeitnah geschlossen werden. OPNsenses wöchentlicher Patch-Rhythmus erfüllt diese Anforderung strukturell besser als pfSense CE mit seinem jährlichen Release-Zyklus.
Benutzeroberfläche und Bedienbarkeit
Die Benutzeroberfläche ist einer der auffälligsten Unterschiede im täglichen Betrieb. pfSense setzt auf ein horizontales Menü oben im Browser, das aus der frühen PHP-Ära stammt und seitdem nur geringfügig modernisiert wurde. OPNsense überarbeitete die Navigation 2015 von Grund auf und präsentiert eine linke Sidebar, die durchsuchbar ist und schnelleren Zugriff auf tief verschachtelte Einstellungen bietet.
pfSense-Webinterface
Das pfSense-Interface ist funktional und bei erfahrenen Administratoren gut eingeführt. Wer pfSense seit Jahren nutzt, kennt die Menüstruktur auswendig und kommt schnell ans Ziel. Neue Nutzer berichten jedoch von einer steilen Lernkurve, da viele Einstellungen in tief verschachtelten Untermenüs liegen. Ein Status-Dashboard gibt es, aber es ist im Vergleich zu OPNsense weniger informationsdicht und bietet weniger Widget-Optionen.
OPNsense-Webinterface
OPNsense bietet eine Suchfunktion in der Sidebar, über die Nutzer direkt nach Menüpunkten suchen können, ohne die genaue Position zu kennen. Das Start-Dashboard integriert Traffic-Statistiken, Suricata-Alerts und VPN-Statusübersichten als konfigurierbare Widgets. Viele Heimlab-Betreiber wählen OPNsense zunächst wegen der Oberfläche, bevor sie die technischen Unterschiede vollständig verstanden haben, und bleiben dann aus inhaltlichen Gründen dabei.
Tom Lawrence von Lawrence Systems, einem der bekanntesten Netzwerk-YouTuber im englischsprachigen Raum mit über 200.000 Abonnenten und langjähriger Erfahrung als IT-Systemintegrator, beschreibt den Unterschied so: “Der Unterschied zwischen pfSense und OPNsense ist nicht groß genug, um jemanden wegzudrängen, der bereits damit arbeitet. Für neue Deployments sehe ich OPNsense aber klar vorne, wegen der UI und der Update-Frequenz.” Lawrence betont gleichzeitig, dass die Entscheidung in Unternehmensumgebungen häufig am verfügbaren Support hängt: pfSense Plus mit Netgate-TAC sei für IT-Teams attraktiv, die eine direkte Eskalationsmöglichkeit brauchen.
Eine Analyse des FreeBSD-Firewall-Ökosystems aus dem ersten Quartal 2026 beschreibt OPNsense als “Standard-Empfehlung für neue Deployments” und begründet das mit schnellerer Entwicklung, besseren Community-Beziehungen und einem moderneren Codebase. pfSense Plus wird als “solide Wahl für bestehende Netgate-zentrierte Umgebungen” eingestuft.
VPN-Unterstützung: WireGuard, OpenVPN und IPsec
Beide Plattformen unterstützen die gängigen VPN-Protokolle vollständig. Der Unterschied liegt in der Integration und dem Konfigurationsaufwand.
WireGuard
OPNsense integriert WireGuard nativ ohne zusätzliche Paketinstallation. Schlüsselverwaltung, Peer-Konfiguration und Routing-Tabellen lassen sich direkt im Browser einrichten. Das Ergebnis im Benchmark: 720 Mbps Durchsatz auf dem Testhardware, nahe an der theoretischen Grenze für WireGuard auf einem einzelnen CPU-Kern.
Bei pfSense muss WireGuard als separates Paket nachinstalliert werden. Die Konfiguration funktioniert, ist aber weniger tief in die Firewall-Regelstruktur eingebettet. Im gleichen Benchmark erreichte pfSense WireGuard 710 Mbps. Für ein tiefes Verständnis der Protokollunterschiede und Anwendungsfälle lohnt sich der Artikel WireGuard vs OpenVPN: 3-4x schneller.
OpenVPN und IPsec
Beide Plattformen bieten vollständige OpenVPN-Unterstützung mit Client-Export-Assistent und Server-Konfigurationshilfe. IPsec mit IKEv2 und modernen Cipher-Suites ist in beiden Systemen stabil implementiert. In diesem Bereich gibt es keine relevanten funktionalen Unterschiede zwischen pfSense und OPNsense.
# OPNsense: WireGuard-Peers über SSH prüfen
wg show wg0
# OPNsense / pfSense: IPsec-Statusübersicht
ipsec statusall
# OPNsense: Aktive OpenVPN-Verbindungen anzeigen
cat /var/log/openvpn.log | grep "^$(date +%Y-%m-%d)" | grep "Peer Connection Initiated"Sicherheit und CVE-Reaktionszeiten
Beide Plattformen erben FreeBSD-Kernel-CVEs und müssen darüber hinaus plattformspezifische Schwachstellen in ihren Webinterfaces, Plugins und Diensten patchen. Das entscheidende Differenzierungsmerkmal ist die Reaktionsgeschwindigkeit.
OPNsense schiebt Sicherheits-Updates wöchentlich nach, sobald sie bereitstehen. Patches für FreeBSD-Schwachstellen erscheinen oft innerhalb weniger Tage nach dem offiziellen FreeBSD-Security-Advisory. pfSense CE wartet dagegen auf den nächsten regulären Release, der nur ein- bis zweimal jährlich erscheint. pfSense Plus erhält Patches schneller als CE, aber im Durchschnitt langsamer als OPNsense.
Ein konkretes Beispiel aus 2025: CVE-2025-34173 betraf das Snort-Paket in pfSense Plus 25.07 und 25.07.1 sowie CE 2.8.0 und 2.8.1. Die Schwachstelle ermöglichte Directory Traversal und unautorisierten Dateizugriff über das Webinterface. Netgate lieferte den Fix im nächsten Plus-Release. CE-Nutzer mussten länger warten oder den Patch manuell einspielen.
Einige pfSense-Befürworter im Lawrence-Systems-Forum wiesen darauf hin, dass OPNsense trotz häufiger Releases bei einzelnen spezifischen CVEs gelegentlich langsamer reagierte als pfSense Plus. Das sind jedoch Ausnahmen, die die strukturelle Überlegenheit von OPNsenses Patch-Philosophie nicht umkehren.
Für einen vergleichbaren Blick auf Sicherheits-Trade-offs bei Community-getriebener Software zeigt der Artikel zu CrowdSec vs Fail2ban ähnliche Abwägungen zwischen Update-Tempo und Stabilität.
Plugin-Ökosystem und Erweiterungen
Beide Firewalls lassen sich über Pakete (pfSense) und Plugins (OPNsense) erweitern. In der absoluten Anzahl der Pakete liegt pfSense historisch vorne, weil die Plattform fast zwanzig Jahre Vorlauf hat. OPNsense holt jedoch auf und integriert neue Technologien schneller in den Plugin-Katalog.
Wichtige Plugins und deren Verfügbarkeit im Vergleich:
- Suricata IDS/IPS: Beide Plattformen. OPNsense integriert Suricata tiefer und zeigt Alerts direkt im Dashboard ohne manuelle Konfiguration.
- Zenarmor (NGFW, Application Control): Primär OPNsense. Auf pfSense nur eingeschränkt verfügbar, ohne vollständige GUI-Integration.
- HAProxy (Load Balancer): Beide Plattformen, jeweils als Paket oder Plugin.
- Squid (Proxy): Beide Plattformen. OPNsense unterstützt zusätzlich E2Guardian als filterstärkere Alternative.
- FRRouting (BGP, OSPF, EIGRP): Beide Plattformen als Paket bzw. Plugin.
- Telegraf / Grafana-Stack: Beide Plattformen über Community-Pakete verfügbar.
- ACME / Let’s Encrypt: Beide Plattformen, direkt im Webinterface konfigurierbar.
- Netdata (Real-Time-Monitoring): OPNsense über Plugin, pfSense nicht im offiziellen Paket-Repo.
Für Betreiber, die auf Zenarmor für Application-Layer-Filterung und TLS-Inspektion setzen, fällt die Wahl eindeutig auf OPNsense. Das Plugin bietet auf OPNsense vollständige NGFW-Funktionen, die pfSense in dieser integrierten Form nicht erreicht. Details zur Runware-Infrastruktur hinter solchen Sicherheitsdiensten sind über Decisos Business-Edition-Seite zugänglich.
Hardware-Kompatibilität und Treiber-Support
Beide Systeme laufen auf Standard-x86-64-Hardware. Die Unterschiede zeigen sich vor allem bei neueren Netzwerkkarten, besonders bei 2,5-GbE-Adaptern und chinesischen Mini-PC-Appliances.
pfSense CE verwendete bis 2024 eine ältere FreeBSD-Basis, was zu Problemen mit neuen Realtek- und Intel-2,5-GbE-NICs führte. Wer damals 2,5-GbE-Karten betreiben wollte, musste entweder zu pfSense Plus upgraden oder auf OPNsense wechseln. Seit beide Plattformen FreeBSD 14.x nutzen, hat sich diese Lücke geschlossen. OPNsense adoptiert neue Treiber durch seinen schnelleren Update-Rhythmus weiterhin früher als pfSense CE.
Für Heimanwender mit Intel-N100-basierten Mini-PCs, Topton-Appliances oder Protectli-Klonen mit Realtek-2,5-GbE-NICs läuft OPNsense in der Praxis reibungsloser, weil aktuelle Treiber für diese Plattformen schneller in OPNsense landen. In virtualisierten Umgebungen auf Proxmox VE und VMware ESXi laufen beide Plattformen mit VirtIO-Netzwerktreibern stabil und ohne messbare Einschränkungen. Die VM-Installation empfiehlt sich für Labore, da Snapshots einfache Rollbacks nach Konfigurationsfehlern ermöglichen.
Für die Absicherung von Diensten hinter der Firewall mit SSH-Schlüsseln bietet der Artikel SSH-Keys einrichten in 12 Schritten eine praxisnahe Anleitung. Zertifikatsmanagement und TLS-Konfiguration auf Servern hinter der Firewall deckt der OpenSSL-Tutorial für Schlüssel und Zertifikate ab.
5 Praxisbeispiele: Welche Firewall für welchen Einsatz?
Abstrakte Vergleiche helfen nur begrenzt weiter. Die folgenden fünf Szenarien zeigen, welche Plattform in der Praxis die bessere Wahl ist.
1. Heimnetzwerk mit VLANs und WireGuard-Road-Warrior
Szenario: Ein Heimnetz mit getrennten VLANs für IoT, Heimarbeitsplatz und Gäste sowie einem WireGuard-Road-Warrior-Tunnel für den mobilen Zugriff von unterwegs. Empfehlung: OPNsense. WireGuard ist nativ eingebaut, Suricata schützt den Heimnetz-Traffic ohne zusätzliche Paketinstallation, und die Oberfläche macht die VLAN-Konfiguration auch ohne tiefes Netzwerk-Studium zugänglich. Hardware-Empfehlung: Ein Intel-N100-basierter Mini-PC mit 8 GB RAM und zwei 2,5-GbE-Ports für unter 150 Euro deckt 1-GbE-Heimnetzlast vollständig ab.
2. KMU-Perimeter-Firewall mit kommerziellem Support
Szenario: Ein Mittelstandsunternehmen mit 50 Mitarbeitern, Datenschutz-Anforderungen nach DSGVO und einem externen IT-Dienstleister. Empfehlung: Entweder pfSense Plus auf Netgate-Hardware oder OPNsense Business Edition. Beide bieten kommerzielle SLAs. Der Unterschied: Wer auf einen einzigen Hersteller für Hardware und Software setzen möchte, wählt Netgate. Wer von einem EU-ansässigen Hersteller lieber unabhängige, quelloffene Software kauft, wählt OPNsense Business Edition von Deciso. Im DACH-Markt hat Deciso durch den europäischen Hauptsitz (Niederlande) einen DSGVO-nahen Vorteil gegenüber dem US-amerikanischen Netgate.
3. Homelab-Proxmox-Cluster mit 10-GbE
Szenario: Ein Homelab mit Proxmox, mehreren VMs und Containern, einem 10-GbE-internen Netzwerk und dem Wunsch, schnell neue VPN-Protokolle und Plugins zu testen. Empfehlung: OPNsense als Proxmox-VM. Snapshots erlauben Rollbacks vor jedem Konfigurationsexperiment. Wöchentliche OPNsense-Updates, native WireGuard-Unterstützung und Zenarmor-Integration für Deep-Packet-Inspection passen zur experimentellen Homelab-Mentalität.
4. MSP mit 30 Kundenstandorten auf pfSense Plus
Szenario: Ein Managed-Service-Provider betreibt 30 Kundennetzwerke mit pfSense Plus auf Netgate-Appliances und nutzt bewährte Konfigurations-Templates. Empfehlung: Bei pfSense Plus bleiben. Migrationskosten überwiegen den Mehrwert eines OPNsense-Wechsels, wenn die Umgebung stabil läuft und das TAC-Abonnement aktiv ist. Neue Kundenstandorte können parallel auf OPNsense evaluiert werden, um langfristig eine Migrationsstrategie zu entwickeln.
5. Edge-Router für Community-Internet-Knoten mit BGP-Peering
Szenario: Ein Community-Internet-Knoten mit BGP-Peering, FRRouting-Integration und dem Bedarf an schnellen Security-Patches für routing-nahe Schwachstellen. Empfehlung: OPNsense mit FRRouting-Plugin. OPNsenses aktive Community hat FRRouting-Integration in den letzten Jahren deutlich verbessert. Der wöchentliche Patch-Rhythmus reduziert das Risiko langer Expositions-Fenster bei Routing-Schwachstellen, die für öffentlich erreichbare Knoten besonders kritisch sind.
Migrations-Guide: Von pfSense zu OPNsense wechseln
Der Wechsel von pfSense zu OPNsense ist keine One-Click-Migration. Konfigurationsdateien sind nicht kompatibel, weil beide Projekte trotz gemeinsamem Ursprung unterschiedliche XML-Strukturen verwenden. Der folgende sechsstufige Ablauf minimiert Ausfallzeiten.
Schritt 1: Bestandsaufnahme. Exportiert alle pfSense-Konfigurationen (Firewall-Regeln, NAT, VPNs, DHCP-Leases, Zertifikate). Notiert alle installierten Pakete und deren Konfigurationen. Erstellt ein Netzwerkdiagramm mit allen VLANs, IP-Ranges und statischen Routing-Einträgen.
Schritt 2: Test-Installation. Installiert OPNsense auf identischer oder ähnlicher Hardware parallel zur laufenden pfSense-Instanz. Konfiguriert zunächst nur die Basis: WAN, LAN, DHCP, DNS. Testet Konnektivität und VLAN-Tagging mit dem isolierten Testsegment.
Schritt 3: Regelwerk übertragen. Firewall-Regeln müssen manuell in OPNsense nachgebaut werden. Die Logik ist dieselbe, aber die Felder und Bezeichnungen unterscheiden sich. Geht Regel für Regel durch und versteht den Ursprungszweck vor dem Übertragen. Aliase für Netzwerke und Host-Gruppen in OPNsense sind strukturell gleichwertig zu pfSense-Aliassen.
Schritt 4: VPN-Konfigurationen. IPsec-Tunnels und OpenVPN-Server müssen neu konfiguriert werden. TLS-Zertifikate lassen sich aus pfSense exportieren und in OPNsense importieren. WireGuard-Konfigurationen sind in OPNsense einfacher aufgesetzt, da die native Integration den Konfigurationsaufwand deutlich reduziert.
Schritt 5: Cutover. Geplanter Wartungsfenster. Deaktiviert pfSense, aktiviert OPNsense mit identischen IP-Konfigurationen auf WAN- und LAN-Interfaces. Führt DHCP-Lease-Verlängerung durch. Testet alle kritischen Services: DNS-Auflösung, VPN-Verbindungen, Web-Proxies, Suricata-Alerting.
Schritt 6: Monitoring und Rollback. Behaltet pfSense als Cold-Standby für mindestens zwei Wochen. Vergleicht Suricata-Alertvolumen, Firewall-Hit-Counts und VPN-Verbindungsqualität vor und nach der Migration. Netzwerk-Scans vor und nach dem Cutover mit dem Nmap-Tutorial helfen, unerwartete offene Ports zu identifizieren.
# OPNsense: Aktive Firewall-Regeln über SSH anzeigen
pfctl -sr | head -50
# OPNsense: Suricata-Alertzahl der letzten 24 Stunden
grep "$(date +%Y-%m-%d)" /var/log/suricata/eve.json 2>/dev/null | \
python3 -c "
import sys, json
alerts = [json.loads(l) for l in sys.stdin if '\"alert\"' in l]
print(f'{len(alerts)} Suricata-Alerts in den letzten 24 Stunden')
"
# OPNsense: Verbundene WireGuard-Peers
wg show all peersVor- und Nachteile im direkten Vergleich
pfSense: Stärken und Schwächen
Stärken von pfSense: Sehr große installierte Basis mit umfangreichem Community-Wissen und vielen Stack-Overflow-Antworten. Umfangreiches Paket-Ökosystem mit spezialisierten Nischen-Tools. pfSense Plus bietet kommerziellen Support direkt vom Hersteller. Netgate-Appliances liefern Hardware und Software aus einer Hand. Sehr stabil auf langlaufenden Installationen mit konservativem Update-Zyklus. Für Unternehmens-Audits gibt es eine klare Vendor-Beziehung zu Netgate.
Schwächen von pfSense: Gespaltenes Lizenzmodell (CE vs Plus) mit deutlich unterschiedlichen Patch-Frequenzen. CE erhält Sicherheitsupdates mit erheblicher Verzögerung. Webinterface wirkt datiert im Vergleich zu OPNsense. WireGuard ist kein nativer Bestandteil. Zenarmor-Integration nur eingeschränkt verfügbar. Historisch häufiger Treiberprobleme bei neuerer 2,5-GbE-Hardware in der CE-Variante.
OPNsense: Stärken und Schwächen
Stärken von OPNsense: Vollständig quelloffen ohne Feature-Paywall, alle Nutzer erhalten dieselben Updates gleichzeitig. Wöchentliche Sicherheitsupdates. Modernes, durchsuchbares Webinterface mit informativen Dashboards. WireGuard nativ eingebaut. Suricata und IDS/IPS tief integriert ohne Nachinstallation. Zenarmor für NGFW-Funktionen vollständig unterstützt. Schnellere Adoption neuer Hardware-Treiber. Deciso als EU-Unternehmen relevant für DSGVO-konforme Beschaffungsentscheidungen.
Schwächen von OPNsense: Häufige Updates können auf produktionskritischen Systemen ohne gutes Rollback-Management zum Risiko werden. Geringere installierte Basis bedeutet weniger Erfahrungsberichte für sehr spezifische Konfigurationsprobleme. Deciso Business Edition hat im DACH-Markt eine schmalere eigene Appliance-Produktpalette als Netgate.
Klares Urteil: Welche Firewall wählen?
Die Daten aus diesem Vergleich ergeben 2026 ein klares Bild.
OPNsense ist die bessere Wahl für Neuinstallationen. Wöchentliche Sicherheitsupdates, native WireGuard-Integration, modernes Webinterface und vollständige Open-Source-Transparenz ohne Feature-Paywall machen OPNsense zur strukturell überlegenen Plattform für alle, die keine Legacy-pfSense-Infrastruktur betreiben. Im Benchmark liegen beide Plattformen auf identischer Hardware innerhalb von 2 %, weshalb es kein Performance-Argument für pfSense gibt.
pfSense Plus bleibt die richtige Wahl für bestehende Netgate-Deployments. Wer bereits mit Netgate-Appliances und pfSense Plus arbeitet, stabile Konfigurationen hat und kommerziellen Support über TAC benötigt, sollte nicht migrieren. Die Migrationskosten übersteigen den Mehrwert, solange die Umgebung stabil läuft und das TAC-Abonnement aktiv ist.
pfSense CE ist für Produktionsumgebungen nicht empfehlenswert. Der jährliche Update-Rhythmus und die nachgelagerten Sicherheits-Patches machen CE für alles außer Labs und Testsystemen problematisch. Wer CE produktiv einsetzt und keine TAC-Subscription zahlen möchte, ist mit OPNsense Community besser bedient, kostenlos, vollständig quelloffen und mit wöchentlichen Patches.
Für DACH-Unternehmen unter NIS-2-Pflicht und für Organisationen, die IT-Infrastruktur lieber bei EU-ansässigen Herstellern beschaffen, bietet OPNsense von Deciso (Niederlande) zusätzliche Argumente gegenüber Netgate (USA). Beide Firewalls können mit einem WAF-Layer ergänzt werden, wie der Artikel ModSecurity 3 und Nginx WAF einrichten zeigt.
Verwandte Artikel
- WireGuard vs OpenVPN: 3-4x schneller im Protokollvergleich
- CrowdSec vs Fail2ban: 13.941 vs 18.007 GitHub-Stars
- Nmap-Tutorial: Netzwerke scannen in 12 Schritten
- ModSecurity 3 und Nginx WAF einrichten: 12 Schritte
- OpenSSL-Tutorial: Schlüssel und Zertifikate in 12 Schritten
- NIS-2 Deutschland: 29.500 Firmen, 10 Mio. Euro Strafe
- SSH-Keys einrichten: 12 Schritte, 25 Minuten
Häufige Fragen (FAQ)
Ist OPNsense besser als pfSense?
Für Neuinstallationen in 2026 ja. OPNsense liefert wöchentliche Sicherheits-Updates, native WireGuard-Integration und ein moderneres Webinterface ohne Feature-Paywall. Auf identischer Hardware liegt der Performance-Unterschied unter 2 %. Für bestehende pfSense-Plus-Deployments mit Netgate-Hardware lohnt sich eine Migration nur, wenn es konkrete funktionale Gründe gibt, etwa den Wunsch nach Zenarmor-Integration oder Deciso-Support.
Kann ich meine pfSense-Konfiguration nach OPNsense importieren?
Nein, nicht direkt per Import-Tool. Beide Systeme verwenden unterschiedliche XML-Konfigurationsformate. Firewall-Regeln, VPN-Konfigurationen und DHCP-Einstellungen müssen manuell nachgebaut werden. TLS-Zertifikate lassen sich aus pfSense exportieren und in OPNsense importieren. Der Migrations-Guide weiter oben in diesem Artikel beschreibt die empfohlene Vorgehensweise in sechs Schritten.
Was ist der Unterschied zwischen pfSense CE und pfSense Plus?
pfSense CE ist quelloffen (Apache 2.0) und kostenlos, erhält Sicherheits-Patches aber mit erheblicher Verzögerung, etwa ein- bis zweimal jährlich. pfSense Plus ist eine proprietäre Variante, die an Netgate-Hardware oder TAC-Subscriptions (ab ca. 129 $/Jahr) gebunden ist. Plus bekommt Patches früher und beinhaltet kommerziellen Support. Für Produktionsbetrieb ist CE aufgrund des langsamen Patch-Rhythmus problematisch.
Hat OPNsense eine Business-Version mit Support?
Ja. Deciso vertreibt die OPNsense Business Edition mit SLAs, einem stabilen Enterprise-Release-Kanal und direktem Support. Der Unterschied zur Community-Version liegt nicht im Funktionsumfang, alle Firewall-Features sind kostenlos, sondern im Release-Kanal, den Supportverträgen und optionalen Deciso-Appliances. Aktuelle Preise und Leistungsmerkmale gibt es unter deciso.com/opnsense-business-edition.
Welche Hardware empfiehlt sich für OPNsense 2026?
Für Heimnetzwerke mit bis zu 1 GbE: Ein Intel-N100-basierter Mini-PC mit 8 GB RAM und 2,5-GbE-NICs für unter 150 Euro reicht aus. Für KMU-Umgebungen mit IDS/IPS und mehreren VPN-Tunnels: Mindestens ein Quad-Core-x86 mit AES-NI, 8 GB RAM und Intel-NICs. Für Proxmox-VMs: OPNsense läuft mit 2 GB RAM und 2 vCPUs stabil, 4 GB RAM werden für Suricata-Betrieb empfohlen. Offizielle Downloads gibt es unter opnsense.org/download.
Unterstützt pfSense WireGuard nativ?
Nein. In pfSense CE und pfSense Plus wird WireGuard als Paket nachinstalliert, kein nativer Bestandteil des Systems. OPNsense integriert WireGuard direkt in den Firewall-Stack. Im Benchmark erzielte OPNsense 720 Mbps WireGuard-Durchsatz gegenüber 710 Mbps bei pfSense auf identischer Hardware.
Welche Plattform ist für den DACH-Markt und DSGVO besser geeignet?
Beide Plattformen laufen als On-Premises-Software ohne Cloud-Telemetrie in der Standardkonfiguration. Der entscheidende Unterschied auf Beschaffungsebene: Deciso (OPNsense) ist ein niederländisches Unternehmen, das der DSGVO unterliegt. Netgate (pfSense Plus) ist ein US-amerikanisches Unternehmen. Für Behörden, öffentliche Einrichtungen und Unternehmen mit strikten Datenlokalisierungsanforderungen ist OPNsense aus beschaffungsrechtlicher Sicht günstiger positioniert. Technisch sind beide Plattformen ohne Cloud-Anbindung gleichwertig DSGVO-neutral.
Kann ich pfSense und OPNsense parallel testen?
Ja. Beide Plattformen lassen sich als Proxmox-VMs nebeneinander auf derselben Hardware betreiben. Beide Projekte stellen ISO-Images kostenlos bereit: opnsense.org/download für OPNsense und docs.netgate.com/pfsense für pfSense CE. Eine parallele VM-Installation ist die empfohlene Methode, um eigene Erfahrungen mit beiden Oberflächen und Konfigurationsworkflows zu sammeln, bevor eine Produktionsumgebung migriert wird.
